Rafel Remote Access Tool (RAT) reprezintă un tip de malware conceput pentru sistemele Android. Acesta conferă atacatorilor capacitatea de a gestiona dispozitivele infectate de la distanță, fără ca proprietarii acestora să fie conștienți de prezența sa. Malware-ul poate evita detecția pentru perioade extinse, ceea ce îi sporește eficiența în cadrul atacurilor. Recent, acesta a fost semnalat ca fiind prezent și în România. Rafel RAT reprezintă o amenințare cibernetică majoră, ce poate fi folosită pentru spionaj și atacuri ransomware sofisticate. Evoluția sa de la un simplu instrument de spionaj la un malware multifuncțional reflectă adaptabilitatea și pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android.
Aplicația a fost dezvoltată inițial în anul 2021 și distribuită gratuit prin intermediul GitHub fiind preluată și dezvoltată inclusiv de grupări de tip Advanced Persistent Threat (APT). Rafel RAT a câștigat rapid notorietate în rândul infractorilor cibernetici datorită capacităților sale extinse și modului facil de utilizare, generând preocupări serioase atât pentru utilizatorii de platforme Android cât și pentru experții în securitate cibernetică. A fost utilizat în numeroase atacuri cibernetice în diverse regiuni, cu accent pe frauda financiară și spionajul corporativ. Majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo și Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depășit ce nu mai beneficia de actualizări de securitate. Ultima campanie, desfășurată în 2024, a avut ca ținte entități de rang înalt, pe o arie geografică foarte largă, ce cuprinde Australia, China, Franța, Germania, Italia, Pakistan, România, și SUA.
Citește și: Escrocheria teribilă i-a lăsat pe mulți români fără bani. Infractorii au fost prinși și au dezvăluit secretele combinației prin care își însușeau bani necuveniți
Modul de operare al infractorilor
În unele atacuri, victimele au fost convinse să instaleze RAT-ul prin intermediul unor aplicații foarte cunoscute (cum ar fi Black WhatsApp, Story Saver for Instagram etc.), aplicații de suport sau soluții antivirus. În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente atașate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii. Niciunul dintre aceste atacuri nu necesită acces cu drept de administrator (root), astfel încât acestea operează cu succes pe dispozitive cu sisteme de operare nemodificate. Rafel RAT funcționează foarte bine pe Android 12 și versiunile anterioare, dar au fost înregistrate atacuri reușite și asupra dispozitivelor cu Android versiunea 13.
Odată ce aplicația malițioasă este descărcată, aceasta solicită un set extins de permisiuni de la utilizator. Aceste permisiuni includ adesea acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare și date de localizare. Malware-ul poate folosi tactici înșelătoare pentru a convinge utilizatorii să acorde aceste permisiuni, cum ar fi faptul că sunt necesare pentru funcționalitatea aplicației.
Recomandările DNSC
Conștientizarea și măsurile de protecție adecvate sunt importante pentru a preveni infectarea și pierderea datelor. Datorită mecanismelor de protecție specifice, Rafel RAT adesea nu este detectat de software-ul antivirus clasic.
Recomandăm implementarea următoarelor măsuri de bază de securitate cibernetică:
- Sporirea vigilenței este principalul atu avut oricând la dispoziție de către un utilizator obișnuit. Manifestați atenție la verificarea e-mailurilor primite, în special a celor care conțin atașamente sau link-uri suspecte!
- Descărcați aplicațiile doar din surse de încredere, folosind doar magazinele oficiale, cum ar fi Google Play Store.
- Analizați cu atenție permisiunile aplicațiilor solicitate la instalare sau la actualizare și fiți precauți la aplicațiile care solicită permisiuni excesive sau inutile.
- Scanați cu o soluție de securitate instalată pe dispozitiv sau cu una disponibilă gratis online, link-urile sau atașamentele suspecte. Nu uitați să aplicați la timp update-urile pentru aceste soluții de securitate!
- Pentru a vă proteja eficient împotriva ransomware, trebuie să vă concentrați în principal pe poarta principală de acces a acestuia: comunicarea prin e-mail. Acestea se ascund adesea sub forma unor fișiere, aparent legitime, ce permit atacatorilor accesul la sistem și rularea unor programe de exfiltrare și/sau criptare a fișierelor de pe dispozitivele compromise.
- Actualizați de urgență sistemele de operare, programele antivirus, browser-ele web, clienții de e-mail și alte programe utilitare.
- Realizați periodic sesiuni de training cu personalul. Acestea sunt necesare atât pentru conștientizare/prevenire, cât și pentru a ști ce este de făcut în cazurile în care au loc incidente de securitate cibernetică, astfel încât acestea să fie gestionate eficient.
- Nu ezitați să contactați Directoratul Național de Securitate Cibernetică (DNSC), în cazul în care suspectați că dispozitivele din cadrul entității dumneavoastră au fost compromise sau sunteți subiectul unui atac cibernetic.
Vezi și: DNSC emite alerta în toată România! La ce trebuie să fie atenți românii pentru a evita să devină victimele infractorilor
